第十章風險管理審計第十章風險管理審計1一、企業風險管理審計概述（一）風險及風險管理1.風險定義：是指影響組織目標實現的各種不確定性事件。

包括：內部風險和外部風險

一、企業風險管理審計概述（一）風險及風險管理2A.外部風險是指外部環境中對組織目標的實現產生影響的不確定性。影響外部風險的主要因素：國家法律法規變化、經濟環境變化、科技發展、行業竟爭、意外等B.內部風險是指內部環境中對組織目標的實現產生影響的不確定性。

影響因素：治理結構、組織特點、信息系統、職業道德、業務素質等A.外部風險是指外部環境中對組織目標的實現產生影響的不確定性32.風險管理的定義：是對影響組織目標實現的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內的過程。風險管理的目的：為了將風險控制在可接受的范圍內；（風險的可接受范圍取決于組織對風險的態度）2.風險管理的定義：是對影響組織目標實現的各種不確定性事件進4（二）風險管理的范圍包括：組織整體及職能部門兩個層面。1.低層目標的實現是高層目標實現的基礎。2.不同層面的風險管理的責任在于不同的管理層。（二）風險管理的范圍5（三）風險管理的三個階段1.風險識別：根據組織目標、戰略規劃等識別所面臨的風險。

①組織目標：戰略目標、經營目標、各職能部門的目標、崗位目標等。風險的識別應根據不同層次的目標分別進行，在整個組織的各層次都要進行。②識別的風險可能會影響組織整體層，也可能僅影響單個職能部門。（三）風險管理的三個階段62.風險評估對已識別的風險，評估其發生的可能性及影響程度。

①風險評估針對兩方面進行：（必須同時進行評估）（1）風險發生的可能性；（2）風險的影響程度。②風險評估是做出恰當的風險應對決策的基本前提。2.風險評估73.風險應對采取應對措施，將風險控制在組織可接受的范圍內。

①應對措施根據風險的嚴重程度有針對性地進行。（1）采取措施，降低風險；（2）不采取措施，接受風險。②采取應對措施應考慮成本效益原則。3.風險應對8（四）內部審計與風險管理的關系1.內部審計是一種獨立、客觀的保證和咨詢活動。其目的是在于為組織增加價值和提高組織的運作效率。它通過系統化和規范化的方法，評價和改進風險管理、控制及治理過程的效果，幫助組織實現其目標。

2.內部審計介入風險管理的主要原因：①內部審計機構有獨特的位置；②內部審計師更了解組織的高風險領域；③內部審計師對于組織目標的實現有更強的責任感。

（四）內部審計與風險管理的關系93.內部審計在風險管理中的作用

①檢查與評價②管理與協調③顧問與咨詢④報告與防范

3.內部審計在風險管理中的作用10（五）組織管理層和內部審計人員在風險管理中的職責1、組織管理層：負責確定可接受的風險范圍，建立、健全風險管理機制并使之有效運行?！罱M織管理層對待風險的態度直接決定了風險管理的程度。☆可接受的風險范圍由組織管理層根據組織特點、其自身經營理念及管理思想、組織文化等因素確定的。（五）組織管理層和內部審計人員在風險管理中的職責112、內部審計機構和人員：應當充分了解組織的風險管理過程，審查和評價其適當性和有效性，并提出改進建議。第十章風險管理審計12（六）企業風險管理審計目標1、總目標：審計部門和審計人員按照組織風險管理方針和策略的部署，以風險管理目標為標準，審核被審計部門在風險識別、評價和管理等方面的合理性和有效性，在損失可能發生之前作出最有效的安排，或使損失降到最小，幫助組織實現預期目標。2、具體目標：包括一般審計目標和項目審計目標。一般審計目標是所有項目必須達到的目標；項目審計目標是某一特定項目所要達到的目標。（六）企業風險管理審計目標13（七）企業風險管理審計的特點1.審計思路和觀念發生根本性轉變2.工作重心開始轉移3.方法更加科學、先進4.目的更加明確（七）企業風險管理審計的特點14二、企業風險管理框架企業風險管理框架（ERMF）是反映風險管理過程和內容的程序圖。包括：澳大利亞-新西蘭聯合委員會的AS/NZE4360、加拿大標準委員會模型、DavidMcNamee模型、COSO模型、IIA研究基金的ERM框架、2004COSO-ERM模型等二、企業風險管理框架企業風險管理框架（ERMF）是反映風險管15（一）澳大利亞-新西蘭聯合委員會的AS/NZE4360確定范圍監測和審核溝通和協調識別風險分析風險評價風險處理風險（一）澳大利亞-新西蘭聯合委員會的AS/NZE4360確定范16（二）COSO模型建立組織目標評估風險確定需要的控制識別、測評、排序風險（二）COSO模型建立組織目標評估風險確定需要的控制識別、17（三）IIA研究基金的ERM框架評估風險1.識別風險因素2.排序3.歸類4.簡要描述風險機會整合風險

數量影響

減輕風險

財務方法探究風險

分析機會

制定計劃

實施保持向前1.監測變化→風險因素→環境→組織2.必要時重新進行以前的步驟（三）IIA研究基金的ERM框架評估風險整合風險探究風險保18（四）安達信信息技術風險管理框架確定管理目標經營風險評估識別、探究、辨別、測評制定經營風險管理戰略改善經營風險管理過程規避、消除、轉移、接收制定或實施風險管理、監控程序經營風險實施效果測試決策信息（四）安達信信息技術風險管理框架確定管理目標經營風險評估制定19（五）《中央企業全面風險管理指引》的企業風險管理框架收集風險管理初始信息進行風險評估制定風險管理策略提出和實施風險管理風險管理的監督和改進風險管理文化融合組織體系構建（五）《中央企業全面風險管理指引》的企業風險管理框架收集風險20三、風險管理審查與評價（一）風險的審查和評價1.確定風險范圍，制定風險評價標準2.識別特定范圍的風險①環境風險②過程風險③信息風險三、風險管理審查與評價（一）風險的審查和評價213.分析風險①風險分析目標②風險分析的程序和內容

★風險征兆的捕捉方法：壽命周期法、SWOT法、盈虧臨界點法、DCCS法、財務會計與統計指標法、“五率”衡量法等3.分析風險22（二）風險評估方法1.定量方法，如蒙特卡羅方法2.定性方法

★風險坐標圖（二）風險評估方法23四、企業風險管理審計（一）風險管理機制的審查與評價1.審查組織機構的健全性2.審查風險管理程序的合理性3.審查風險預警系統的存在及有效性

（二）風險識別的適當性及有效性審查1.審查風險識別原則的合理性2.審查風險識別方法的適當性四、企業風險管理審計（一）風險管理機制的審查與評價24（三）風險評估方法的適當性及有效性1.審查風險評估方法重點考慮以下因素：①已識別的風險的特征；②相關歷史數據的充分性與可靠性；③管理層進行風險評估的技術能力；④成本效益的考核與衡量

⑤其他（三）風險評估方法的適當性及有效性252.評價風險評估方法適當性和有效性應遵循原則①定性方法的采用需要充分考慮部門或人員的意見，以提高評估的客觀性。②在風險難以量化、定量評價所需數據難以獲取時，一般應采取定性方法③定量方法一般情況下會比定性方法提供更為客觀的評估結果。2.評價風險評估方法適當性和有效性應遵循原則26（四）風險應對措施適當性和有效性審查1.風險應對的審查與評價①回避：采取措施避免進行可產生風險的活動。②接受：由于風險已在組織可接受的范圍內，可不采取任何措施。③降低：采取適當措施將風險降低到組織可接受的范圍內。④分擔：采取措施將風險轉移給其他組織或保險機構。通常：對1級風險——回避或降低；對2級或3級風險——降低或分擔；對4級風險——接受（四）風險應對措施適當性和有效性審查272.評價風險應對措施時應考慮的因素①采取風險應對措施后的剩余風險水平是否在組織可以接受的范圍之內；②采取的風險應對措施是否適合本組織的經營、管理特點；

③成本的考核與衡量。2.評價風險應對措施時應考慮的因素28（五）審查和評價風險管理過程結果報告1.內部審計人員應向組織適當管理層報告審查和評價風險管理過程的結果，并提出改進建議。2.風險管理的審查和評價結果應反映在內部控制審計報告中，必要時應出具專項審計報告。（五）審查和評價風險管理過程結果報告29演講完畢，謝謝觀看！演講完畢，謝謝觀看！30第十章風險管理審計第十章風險管理審計31一、企業風險管理審計概述（一）風險及風險管理1.風險定義：是指影響組織目標實現的各種不確定性事件。

包括：內部風險和外部風險

一、企業風險管理審計概述（一）風險及風險管理32A.外部風險是指外部環境中對組織目標的實現產生影響的不確定性。影響外部風險的主要因素：國家法律法規變化、經濟環境變化、科技發展、行業竟爭、意外等B.內部風險是指內部環境中對組織目標的實現產生影響的不確定性。

影響因素：治理結構、組織特點、信息系統、職業道德、業務素質等A.外部風險是指外部環境中對組織目標的實現產生影響的不確定性332.風險管理的定義：是對影響組織目標實現的各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在可接受范圍內的過程。風險管理的目的：為了將風險控制在可接受的范圍內；（風險的可接受范圍取決于組織對風險的態度）2.風險管理的定義：是對影響組織目標實現的各種不確定性事件進34（二）風險管理的范圍包括：組織整體及職能部門兩個層面。1.低層目標的實現是高層目標實現的基礎。2.不同層面的風險管理的責任在于不同的管理層。（二）風險管理的范圍35（三）風險管理的三個階段1.風險識別：根據組織目標、戰略規劃等識別所面臨的風險。

①組織目標：戰略目標、經營目標、各職能部門的目標、崗位目標等。風險的識別應根據不同層次的目標分別進行，在整個組織的各層次都要進行。②識別的風險可能會影響組織整體層，也可能僅影響單個職能部門。（三）風險管理的三個階段362.風險評估對已識別的風險，評估其發生的可能性及影響程度。

①風險評估針對兩方面進行：（必須同時進行評估）（1）風險發生的可能性；（2）風險的影響程度。②風險評估是做出恰當的風險應對決策的基本前提。2.風險評估373.風險應對采取應對措施，將風險控制在組織可接受的范圍內。

①應對措施根據風險的嚴重程度有針對性地進行。（1）采取措施，降低風險；（2）不采取措施，接受風險。②采取應對措施應考慮成本效益原則。3.風險應對38（四）內部審計與風險管理的關系1.內部審計是一種獨立、客觀的保證和咨詢活動。其目的是在于為組織增加價值和提高組織的運作效率。它通過系統化和規范化的方法，評價和改進風險管理、控制及治理過程的效果，幫助組織實現其目標。

2.內部審計介入風險管理的主要原因：①內部審計機構有獨特的位置；②內部審計師更了解組織的高風險領域；③內部審計師對于組織目標的實現有更強的責任感。

（四）內部審計與風險管理的關系393.內部審計在風險管理中的作用

①檢查與評價②管理與協調③顧問與咨詢④報告與防范

3.內部審計在風險管理中的作用40（五）組織管理層和內部審計人員在風險管理中的職責1、組織管理層：負責確定可接受的風險范圍，建立、健全風險管理機制并使之有效運行。☆組織管理層對待風險的態度直接決定了風險管理的程度?！羁山邮艿娘L險范圍由組織管理層根據組織特點、其自身經營理念及管理思想、組織文化等因素確定的。（五）組織管理層和內部審計人員在風險管理中的職責412、內部審計機構和人員：應當充分了解組織的風險管理過程，審查和評價其適當性和有效性，并提出改進建議。第十章風險管理審計42（六）企業風險管理審計目標1、總目標：審計部門和審計人員按照組織風險管理方針和策略的部署，以風險管理目標為標準，審核被審計部門在風險識別、評價和管理等方面的合理性和有效性，在損失可能發生之前作出最有效的安排，或使損失降到最小，幫助組織實現預期目標。2、具體目標：包括一般審計目標和項目審計目標。一般審計目標是所有項目必須達到的目標；項目審計目標是某一特定項目所要達到的目標。（六）企業風險管理審計目標43（七）企業風險管理審計的特點1.審計思路和觀念發生根本性轉變2.工作重心開始轉移3.方法更加科學、先進4.目的更加明確（七）企業風險管理審計的特點44二、企業風險管理框架企業風險管理框架（ERMF）是反映風險管理過程和內容的程序圖。包括：澳大利亞-新西蘭聯合委員會的AS/NZE4360、加拿大標準委員會模型、DavidMcNamee模型、COSO模型、IIA研究基金的ERM框架、2004COSO-ERM模型等二、企業風險管理框架企業風險管理框架（ERMF）是反映風險管45（一）澳大利亞-新西蘭聯合委員會的AS/NZE4360確定范圍監測和審核溝通和協調識別風險分析風險評價風險處理風險（一）澳大利亞-新西蘭聯合委員會的AS/NZE4360確定范46（二）COSO模型建立組織目標評估風險確定需要的控制識別、測評、排序風險（二）COSO模型建立組織目標評估風險確定需要的控制識別、47（三）IIA研究基金的ERM框架評估風險1.識別風險因素2.排序3.歸類4.簡要描述風險機會整合風險

數量影響

減輕風險

財務方法探究風險

分析機會

制定計劃

實施保持向前1.監測變化→風險因素→環境→組織2.必要時重新進行以前的步驟（三）IIA研究基金的ERM框架評估風險整合風險探究風險保48（四）安達信信息技術風險管理框架確定管理目標經營風險評估識別、探究、辨別、測評制定經營風險管理戰略改善經營風險管理過程規避、消除、轉移、接收制定或實施風險管理、監控程序經營風險實施效果測試決策信息（四）安達信信息技術風險管理框架確定管理目標經營風險評估制定49（五）《中央企業全面風險管理指引》的企業風險管理框架收集風險管理初始信息進行風險評估制定風險管理策略提出和實施風險管理風險管理的監督和改進風險管理文化融合組織體系構建（五）《中央企業全面風險管理指引》的企業風險管理框架收集風險50三、風險管理審查與評價（一）風險的審查和評價1.確定風險范圍，制定風險評價標準2.識別特定范圍的風險①環境風險②過程風險③信息風險三、風險管理審查與評價（一）風險的審查和評價513.分析風險①風險分析目標②風險分析的程序和內容

★風險征兆的捕捉方法：壽命周期法、SWOT法、盈虧臨界點法、DCCS法、財務會計與統計指標法、“五率”衡量法等3.分析風險52（二）風險評估方法1.定量方法，如蒙特卡羅方法2.定性方法

★風險坐標圖（二）風險評估方法53四、企業風險管理審計（一）風險管理機制的審查與評價1.審查組織機構的健全性2.審查風險管理程序的合理性3.審查風險預警系統的存在及有效性

（二）風險識別的適當性及有效性審查1.審查風險識別原則的合理性2.審查風險識別方法的適當性四、企業風險管理審計（一）風險管理機制的審查與評價54（三）風險評估方法的適當性及有效性1.審查風險評估方法重點考慮以下因素：①已識別的風險的特征；